Защита сервера. Кто что делает?

Maybe

Maybe

Хранитель порядка
Команда форума
Модератор
Регистрация
7 Июл 2008
Сообщения
1.191
Реакции
1.236
  • Автор темы
  • Модер.
  • #1
Всем привет.

С серверами дело имею редко, хотел спросить, кто и как организовывает защиту своих железных или облачных коней?

Сейчас для примера поднял сервер на Дебиане, как веб-сервер - стоит Apache 2. База в лице MariaDB 10. Фтп - vsftpd.
Фаерволлом закрыл все что можно снаружи, кроме http/s, ssh, ftp.
Изменил стандартный 22 порт на рандом из головы (шучу, мой номер квартиры :)). Поставил fail2ban.

Кто что еще делает? Читал про системы мониторинга угроз и прочего, насколько они действенны, насколько они грузят и без того дохлую ВПСку и т.д.
 
Maybe написал(а):
кто и как организовывает защиту своих железных или облачных коней
Нажмите для раскрытия...
Если честно у меня не много всё коряво с серверами, но по сути в каждом офисе так в интернет доступ открыт, а ко мне открыт только vpn, за счет этого по сути порты все закрыты, причем у меня vpn создан костыльный, и там без доп настроек даже в жизни не подключиться со всеми танцами, честно говоря даже боюсь лезть в настройки ибо уверен, залезу всё порушу, вот так работает костыль который просто так к vpn не подключает :)
Ну это про офис и офисные сервера, на офисных серверах только от части отключен интернет, точнее на одном он есть и то для определенных нужд, на остальных двух он не нужен следовательно и живут внутри сети.
По VPS (у меня VDS но пусть будет VPS)у меня живет VPS у хостинга, но там плюшки защиты такие, первое, это автоскалинг, который поднимает мощность максимальных тарифов, скажем когда сервер работает при обычных нагрузках никаких проблем, а когда я поймал брут с китая, и ко мне стукнул ddos с диким обращением я получил уведомления о возросшей нагрузке следовательно по быстрому принял меры.
Так это скажем у меня лентяя так настроено. У всех других может и как то иначе, вообще по этой теме и "пунктикам защиты" к @Sorcus уж он то точно расскажет, что где как прикрутить, до полного безумия и спокойствия в защите :)
 
Я использую iptables, для упрощения можно пользоваться веб-мордой Webmin, ну и соответственно Apache отдельный пользователь, группа. правильно выставить права на запуск/выполнение/чтение скриптов. Для ip телефонии , если аппараты логинятся снаружи, то в iptables разрешаю данные адреса, плюс сложный пароль, в противном случае может быть куча звонков в Зимбабву)))
 
Обычно я делаю только то, что разрешаю определенному IP войти в SSH. Кроме того, всегда выполняйте обновление и обновление не реже одного раза в неделю, чтобы убедиться, что у вас установлена последняя система.
 
Безопасный вариант - доступ по вайтлисту айпи + актуальные обновления + впн и адекватные пароль. В остальном если сильно захотят - поломают.
 
В первом посте не уточнили о какой именно защите (от каких угроз) идет речь. Есть разные векторы атак, начиная с брута паролей и заканчивая уязвимостями и ддос атаками.
 
Maybe написал(а):
Всем привет.

С серверами дело имею редко, хотел спросить, кто и как организовывает защиту своих железных или облачных коней?

Сейчас для примера поднял сервер на Дебиане, как веб-сервер - стоит Apache 2. База в лице MariaDB 10. Фтп - vsftpd.
Фаерволлом закрыл все что можно снаружи, кроме http/s, ssh, ftp.
Изменил стандартный 22 порт на рандом из головы (шучу, мой номер квартиры :)). Поставил fail2ban.

Кто что еще делает? Читал про системы мониторинга угроз и прочего, насколько они действенны, насколько они грузят и без того дохлую ВПСку и т.д.
Нажмите для раскрытия...
Смысл ставить другой порт для ssh если nmap и все открытые порты будут видны? Советую подтянуть fail2ban, довольно гибкая и мощная штука, можно блокировать по странам, как пример, тот же Китай.
Ну и не забываем iptables, борьбу с syn-флудом (надеюсь, в ДЦ стоит что-то от ddos), так же помним об maldetect, clamav и chkrootkit. Так же, стоит отключить неиспользуемые модули Apache, функции php, не забываем об обновлениях и бекапах.
Это если в двух словах, а так да, векторов для атаки всегда несколько.
 
На ssh хорошо port knocking повесить.
 
Yarius написал(а):
Смысл ставить другой порт для ssh если nmap и все открытые порты будут видны?
Нажмите для раскрытия...
nmap редко запускают на скан всех портов - это уже больше похоже на преднамеренную атаку конкретного сервера, а при таком подходе fail2ban уже не поможет, хоть и ослабит.
А вот сканы на стандартные порты и с простыми паролями типа admin/qwerty от школьников прелетают ежедневно. И здесь решение со сменой порта вполне разумно.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху